何为病毒？一种破坏计算机正常运行的程序

常规的挖坑病毒，最近某平台的勒索病毒，打红队一下木马程序等。

本篇主要讲解静态分析手法

何为静态分析？

在不运行病毒的情况下，进行信息收集

PE文件概述

链接库与函数

常用的windows dll都有哪些作用

实验1

1. 属于木马文件

2.文件编译时间

pe explorer可以看到 2010.12.19创建的

3. 程序未做混淆

4. 是，导入函数有很多，如查看文件，创建文件，复制文件，查看文件夹下所有文件，这些导入函数都是windows api的接口，恶意病毒之所以能运行都是基于windows api进行操作

5.使用strings对文件进行数据查看 会释放这个文件，windows正常文件是大写开头 C:\Windows\System32\xxxx.dll

6. 有网络特征，如果存在攻击，链接网络中将会出现这个ip的链接

7. 存在一个exe 一个dll，dll默认不会自己运行，那么exe会调用此dll，由于exe会创建一个kernel32.dll,以小写路径混淆，那么自带的dll可能是kernel32.dll原型，对dll进行分析，有sleep函数 exec函数，推测出可执行命令，有延迟，可查看，创建文件，并且需要联网，故为木马文件，区域内排出木马，一，查找小写路径的kernel32.dll文件，查看链接是否有127.26.152.13外链ip。

实验2

1.有特征 木马文件

2. 检测pe头 发现被加壳了 存在upx壳

如果程序被加壳会发生什么，显示的信息不全，如查看导入函数，只有四五个，正常情况有十几个或者几十个

尝试脱壳

o 脱壳后的文件，d 需要脱壳的文件

upx -o Lab01-021.exe -d Lab01-02.exe

3. 程序功能  创建线程，创建服务，打开链接

4. 特征存在一个链接

实验3

1.是病毒文件，木马

2. 加壳了，FSG v1.0

尝试脱壳 因为不会使用od脱壳，所以查找脱壳工具，一个一个试

3. 查看导入函数

百度搜了下，ole.dll文件的对象嵌入功能允许用户从一个应用程序（源）被嵌入在另一个应用程序（目的地）获得的数据。，猜测可能是调用另一个恶意软件的。

4. 存在链接特征

实验4

1.恶意文件

2. 未加壳

3. 编译时间

4. 写文件 加载资源 创建文件 移动文件 获取临时路径 感觉像是加载器或者下载器

5. 特征是 下载了一个文件，可以基于这个文件查找

6.  使用Resource Hacker打开exe，然后导出raw格式，放入工具， 查看导入函数 从链接下载文件的功能